1 / 23

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Ι

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Ι. Β. Μάγκλαρης maglaris@netmode.ntua.gr www.netmode.ntua.gr 2 4/02/2014. ΘΕΜΑΤΙΚΕΣ ΠΕΡΙΟΧΕΣ ΑΣΦΑΛΕΙΑΣ. Είδη Απειλών και Επιθέσεων Προστασία Πολιτικές

kirkan
Download Presentation

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Ι

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣΙ Β. Μάγκλαρης maglaris@netmode.ntua.gr www.netmode.ntua.gr 24/02/2014

  2. ΘΕΜΑΤΙΚΕΣ ΠΕΡΙΟΧΕΣ ΑΣΦΑΛΕΙΑΣ • Είδη Απειλών και Επιθέσεων • Προστασία • Πολιτικές • Αρχιτεκτονικές Ελέγχου Πρόσβασης (Authorization & Authentication Infrastructures- ΑΑΙ) & Διαχείρισης Δημοσίων Κλειδιών (Public Key Infrastructures - PKI) • Εργαλεία (Access Control Lists – ACLs, Firewalls) • ΣυστήματαΕντοπισμού Επιθέσεων (Intrusion Detection Systems – IDS) & Ανωμαλιών (Anomaly Detection Systems) • Κρυπτογραφία • Η σίγουρη μέθοδος εξασφάλισης ενός δικτύου:

  3. ΑΠΕΙΛΕΣ ΑΣΦΑΛΕΙΑΣ ΔΙΚΤΥΩΝ • Απόκτηση πληροφοριών για το σύστημα: • Port Scanning • Fingerprinting • Μη εξουσιοδοτημένη πρόσβαση • Υποκλοπή κωδικών • Λάθος διαμορφώσεις (ανοικτά συστήματα) • Από μη εξουσιοδοτημένα σημεία (π.χ. ανοιχτά σημεία ασύρματης πρόσβασης) • Επιθέσεις Άρνησης Υπηρεσίας (Denial of Service Attacks - DoS) • Υποκλοπή και παραποίηση επικοινωνιών • Packet sniffing • "Man-in-the-Middle" attacks • Κακόβουλο λογισμικό (malware) • Ιοί, Δούρειοι ίπποι (trojans) • Αυτόματα διαδιδόμενοι ιοί (worms)

  4. ΤΑΥΤΟΤΗΤΑ ΧΡΗΣΤΗΜη Εξουσιοδοτημένη Πρόσβαση • Ταυτότητα χρήστη (user Global ID – GID): • Μία ταυτότητα αντιστοιχεί σε ένα χρήστη user@netmode.ntua.gr • Πολλαπλές ταυτότητες μπορεί να συνυπάρχουν σε διαφορετικούς παρόχουςuser@netmode.ntua.gr, user@gmail.com …. • Ταυτοποίηση χρήστη: • Με <user_name, password> μόνο • Με ψηφιακό πιστοποιητικό σε κατάλογο χρήστη (ανά σύνοδο - session ή αποθηκευμένο σε κατάλογο χρηστών LDAP στοhome organization ενός χρήστη) • Ταυτοποίηση & Εξουσιοδοτήσεις Χρήστη: Ιδανικά σε Authorization & Authentication Infrastructure, AAI με δυνατότητες περιαγωγής (roaming)τουuser_profile • Κίνδυνοι υποκλοπής από την μεταφορά του user_profile μέσα στο Internet: Περιορισμός της ελάχιστης δυνατής πληροφορίας (π.χ. μέσω των home organizations) • Κίνδυνοι υποκλοπής • "Αδύναμοι" κωδικοί & πρωτόκολλα - onetime passwords? • Κακή προστασία μετάδοσης (π.χ. επικοινωνίες χωρίς κρυπτογράφηση, ανεπαρκώς φυλασσόμενες εγκαταστάσεις) • Φυσική απώλεια (PDA κλπ.) • «Social Engineering»

  5. ΕΠΙΘΕΣΕΙΣ ΑΡΝΗΣΗ ΥΠΗΡΕΣΙΑΣ (1)Denial of Service Attacks - DoS • Επιθέσεις που έχουν σκοπό να αποτρέψουν τη χρήση ενός συστήματοςαπό όλους • Εκμεταλλεύονται προβλήματα του λογισμικού (`Operating System ή εφαρμογές εξυπηρετητών) - Software Exploits • Θεωρητικά κινδυνεύει οποιοδήποτε σύστημα είναι συνδεδεμένο στο δίκτυο • Δρομολογητές και άλλες δικτυακές συσκευές επίσης ευάλωτες • Και ένα μοναδικό πακέτο αρκεί σε κάποιες περιπτώσεις για να θέσει εκτός λειτουργίας κάποιο τρωτό σύστημα • Δεν γίνονται προσπάθειες παραβίασης ή υποκλοπής στοιχείων • Απόκρυψη του επιτιθέμενου με παραποίηση της διεύθυνσης αποστολέα στο πακέτο • Χρησιμοποίηση: Διαμάχες hackers, επίδειξη ικανοτήτων, εκδίκηση, κυβερνοπόλεμος

  6. ΕΠΙΘΕΣΕΙΣ ΑΡΝΗΣΗΣ ΥΠΗΡΕΣΙΑΣ (2)Denial of Service Attacks - DoS • Επιθέσεις εξάντλησης πόρων • Εξάντληση υπολογιστικών ή δικτυακών πόρων • Χρήση μεγάλου αριθμού νόμιμων δικτυακών κλήσεων • Σε κάποιες περιπτώσεις χρησιμοποίηση περισσότερων του ενός συστημάτων επίθεσης– Επιθέσεις Ενίσχυσης (Amplification Attacks) • Επόμενο βήμα: Κατανεμημένες Επιθέσεις Άρνησης Υπηρεσίας – Distributed Denial of Service Attacks – DDoS • Χρήση πολλών "ελεγχόμενων" υπολογιστών από τον επιτιθέμενο • Bots • "Αυτόματη" παραβίαση και έλεγχος τους • Συνεχίζουν να λειτουργούν χωρίς ο χρήστης τους να αντιλαμβάνεται διαφορά • Ιεραρχία ελέγχου τους με ενδιάμεσα στάδια (attack masters)

  7. ΕΠΙΘΕΣΕΙΣ ΤΥΠΟΥ "Smurf" ICMP Echo request Destination: LAN broadcast Source: victim.host Στόχος (web Server) victim.host Επιτιθέμενος ICMP Echo reply Destination:victim.host ICMP Echo reply Destination:victim.host ICMP Echo reply Destination:victim.host Διαχειριστικό Πρόβλημα: Επιτρέπεται το ping στη διεύθυνση broadcast Μη ασφαλισμένο δίκτυο

  8. ΕΠΙΘΕΣΕΙΣ Distributed DoS (DDoS) Attack Master Διαχειριστικό Πρόβλημα: Λειτουργία κακόβουλου λογισμικού Δίκτυο Στόχος "Ζόμπι" ή "bots" Attack Agents X Επιτιθέμενος Attack Master Διαχειριστικό Πρόβλημα 2: Επιτρέπονται πακέτα με παράνομη διεύθυνση προέλευσης

  9. ΥΠΟΚΛΟΠΗ & ΠΑΡΑΠΟΙΗΣΗ ΔΕΔΟΜΕΝΩΝ (1) • Packet sniffing • Μπορεί να συμβεί σε δίκτυα με Hub, μη ασφαλισμένα ασύρματα δίκτυα ή σε περιπτώσεις υπερφόρτωσης του MACTable ενός Switch • Κάθε πληροφορία που κυκλοφορεί μη κρυπτογραφημένη είναι διαθέσιμη σε αυτόν που παρακολουθεί • Telnet passwords • Web passwords • Οικονομικά και προσωπικά στοιχεία (π.χ. προσωπικά email, αριθμοί πιστωτικών καρτών κ.λπ.) • "Man-in-the-Middle" attacks • Κάποιος μπορεί να παρεμβληθεί σε μια επικοινωνία και είτε να υποκλέψει τα στοιχεία είτε να "υποκριθεί" ότι είναι κάποιος τρίτος φορέας • ARP "poisoning" • TCP "session hijacking" • DNS "poisoning" – URL redirection

  10. ΥΠΟΚΛΟΠΗ & ΠΑΡΑΠΟΙΗΣΗ ΔΕΔΟΜΕΝΩΝ (2)Λύσεις • Χρήση κρυπτογραφίας • Αντικατάσταση του telnet με SSH (Secure Shell) • Κρυπτογραφημένη έκδοση του IMAP για e-mail • Γνώση των αδυναμιών των δικτυακών εφαρμογών (αποφυγή μετάδοσης κρισίμων δεδομένων χωρίς κρυπτογράφηση) • Χρήση ψηφιακών πιστοποιητικών (certificates) • Προσφέρουν κρυπτογραφία και ταυτοποίηση (επιβεβαίωση ταυτότητας) • Προσοχή στην επιλογή των σημείων σύνδεσης: • Αν χρησιμοποιείται hub χωρίς δυνατότητες διαχείρισης • Αν χρησιμοποιείται ασύρματη σύνδεση WiFi προτείνονται οι εξής εναλλακτικοί τρόποι ελέγχου πρόσβασης: • Αρχική σύνδεση (ελαφρά κρυπτογραφημένη WPA, WEP) μόνο σε τοπική σελίδα Web εξουσιοδότησης & ταυτοποίησης (authorization & authentication).Η σύνδεση ανοίγει στο Internetμε user_name, password • Access Lists εξουσιοδοτημένων διευθύνσεωνMAC • Πρωτόκολλο 802.1Xβασισμένο σε καταλόγους authorized χρηστών LDAP και προ-εγκατεστημένο λογισμικό (certificate) στον Η/Υ

  11. ΚΑΚΟΒΟΥΛΟ ΛΟΓΙΣΜΙΚΟ (1)malware • Ιοί, Δούρειοι ίπποι (trojans – προγράμματα "σε απόκρυψη") • Έχουν αργή μετάδοση, προσκείμενοι σε εκτελέσιμα προγράμματα • Αυτόματα διαδιδόμενοι ιοί (worms) • Εκμεταλλεύονται συνήθως προβλήματα λογισμικού σε Λ.Σ. ή εφαρμογές για να μεταδοθούν στο Διαδίκτυο • Διαδίδονται σε υπολογιστές με κοντινές σε τιμή διευθύνσεις IP και το ίδιο πρόβλημα ή από προκαθορισμένη λίστα διευθύνσεων • Σε ορισμένες περιπτώσεις χρησιμοποιούνται παραπλανητικά μηνύματα email που παρασύρουν το χρήστη στο να εκτελέσει συγκεκριμένες ενέργειες στον υπολογιστή του • Μέσω e-mail χρησιμοποιούν τον κατάλογο διευθύνσεων του χρήστη για τη μετάδοση τους σε νέους χρήστες • Εφόσον χρησιμοποιήσουν ιδιαίτερα διαδεδομένο πρόβλημα είναι δυνατόν να εξαπλωθούν με μεγάλη ταχύτητα σε ολόκληρο το Διαδίκτυο • Οι Δούρειοι Ίπποι πολλές φορές χρησιμοποιούν worms για τη μετάδοση τους

  12. ΚΑΚΟΒΟΥΛΟ ΛΟΓΙΣΜΙΚΟ (2)malware • Ιοί (viruses), Δούρειοι ίπποι (trojans) • Αυτόματα διαδιδόμενοι ιοί (worms) Διαδίδονται εκμεταλλευόμενα προβλήματα λογισμικού (vulnerabilities) ή παραπλανώντας χρήστες

  13. ΚΙΝΔΥΝΟΙ - ΙΣΤΟΡΙΚΟ (1)

  14. ΚΙΝΔΥΝΟΙ - ΙΣΤΟΡΙΚΟ (2)

  15. ΕΙΔΗ ΚΡΥΠΤΟΓΡΑΦΙΑΣ • Συμμετρική(Ιδιωτικού Κλειδιού, Symmetric Cryptography) • Χρήση μοναδικού κλειδιού και από τα δύο μέρη • Κρυπτογράφηση με συγκεκριμένου μήκους κομμάτια κειμένου (blockcipher)ή ανά bit σε συνεχή ροή δεδομένων (streamcipher) • Αλγόριθμοι κρυπτογράφησης:DES, triple DES, RC2, RC4, RC5, IDEA, AES • Γρήγορη άλλα έχει προβλήματα στην ασφάλεια διανομής του κλειδιού • Έχει πολλαπλή χρήση: Encryption, authentication, non-repudiation • Μη Συμμετρική, Δημόσιου Κλειδιού(Public Key Cryptography) • Κάθε μέρος έχει ιδιωτικό και δημόσιο κλειδί. Διανέμει το τελευταίο ελεύθερα • Αλγόριθμοι κρυπτογράφησης:RSA, Diffie-Hellman • Αλγόριθμοι κατακερματισμού (hash functions) για εξαγωγή περίληψης μέρους ή του συνόλου ενός μηνύματος: SHA & SHA-1, MD2, MD4, MD5 • Ισχυρά σημεία: • Δεν διανέμονται ιδιωτικά κλειδιά – μόνο τα δημόσια κλειδιά • Αδύνατα σημεία: • Αργή στην εκτέλεση • Αμφισβήτηση εμπιστοσύνης στα δημόσια κλειδιά: γι' αυτό συνιστάται η εγκατάσταση Αρχών Πιστοποίησης (Certification Authorities,CA) και οργανωμένων υποδομών Δημοσίου Κλειδιού (Public Key Infrastructures, PKI) • Έχει πολλαπλή χρήση: Encryption, authentication, non-repudiation

  16. ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ:Confidentiality • ΑποστολέαςAκαι ΠαραλήπτηςΠ έχουν ανταλλάξει Δημόσια Κλειδιά (π.χ. με Ψηφιακό Πιστοποιητικό από Certification Authority CAself-signed ή υπογραμμένο από 3ης έμπιστη οντότητα – Third Trusted Party TTP, στα πλαίσια αρχιτεκτονικής Public Key Infrastructure PKI) • Κρυπτογράφηση: Με το Δημόσιο Κλειδί του Π • Αποκρυπτογράφηση: με το Ιδιωτικό Κλειδί του Π Παραλήπτης Π Αποστολέας Α Ιδιωτικό Κλειδί Π Δημόσιο Κλειδί Π Μετάδοση Αλγόριθμος Αλγόριθμος Αρχικό Μήνυμα Μήνυμα Κρυπτογραφημένο Μήνυμα Κρυπτ. Μήνυμα

  17. ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ:Sender Authentication / Non Repudiation – Message Integrity • Ψηφιακή Υπογραφή (Digital Signature)μηνύματος από Αποστολέα Α: Κρυπτογράφηση με το Ιδιωτικό Κλειδί του Α περίληψης του μηνύματος που προκύπτει με αλγόριθμο κατακερματισμού (hashing algorithm). • Επιβεβαίωση (authentication) ταυτότητάς του Α, χωρίς δυνατότητά του άρνησης αποστολής (non-repudiation) & επιβεβαίωση μη αλλοίωσης του μηνύματος (message integrity) με βάση την σύγκριση στον Παραλήπτη Π: • Ψηφιακής Υπογραφής, αποκρυπτογραφημένης με το γνωστό Δημόσιο Κλειδί του Α • Νέας περίληψης του ληφθέντος (μη κρυπτογραφημένου) κυρίως μηνύματος, δημιουργημένης στον Π με τον ίδιο γνωστό αλγόριθμο κατακερματισμού Αλγόριθμος Κατακερματισμού Παραλήπτης Π Αποστολέας Α Περίληψη Μηνύματος (Hash) Μήνυμα Μετάδοση Σύγκριση Αλγόριθμος Κρυπτογραφίας Αλγόριθμος Κατακερματισμού (Hashing Algorithm) Digital Signature Ιδιωτικό Κλειδί Α Δημόσιο Κλειδί Α

  18. ΨΗΦΙΑΚΗ ΥΠΟΓΡΑΦΗhttp://en.wikipedia.org/wiki/Digital_signature

  19. ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ Χ.509http://www.verisign.com.au/repository/tutorial/digital/intro1.shtml • Αν συνοδεύουν υπογραμμένο μήνυμα, βεβαιώνουν τη γνησιότητα του Δημοσίου Κλειδιούτου αποστολέα (subject) κατά μια Τρίτη Έμπιστη Οντότητα TTP - Third Trusted Party: ΤηνΑρχή Πιστοποίησης, Certification Authority – CA • Αν χρειάζεται και έλεγχος του Δημοσίου Κλειδιού της CA, μπορεί νααποστέλλεται και 2ο (ή και 3ο, 4ο …πιστοποιητικό) από ιεραρχικά δομημένες CA • Η CA υπογράφει ένα ψηφιακό πιστοποιητικό με το Ιδιωτικό Κλειδί της. Το Δημόσιο Κλειδί της (ανώτερης) CA πρέπει να είναι γνωστό στους παραλήπτες (π.χ. ενσωματωμένο στον Web browser) ή αποδεκτό λόγω σχέσης εμπιστοσύνης (π.χ. σε περιπτώσεις Self-Signed CA)

  20. ΜΕΙΚΤΟ ΣΧΗΜΑ ΔΗΜΟΣΙΟΥ – ΙΔΙΩΤΙΚΟΥ ΚΛΕΙΔΙΟΥ Συνδυασμός που αξιοποιεί τα πλεονεκτήματα και των 2 σχημάτων σε 2 φάσεις ανά σύνοδο (session) μεταξύ client – trusted server: • Κυρίαρχο σχήμα στο Internet • Secure Shell, SSH:Ταυτοποίηση & κρυπτογράφηση από άκρο σε άκρο, π.χPuTTY (ασφαλής σύνοδοςTelnet, client↔ SSH Server), SFTP • Secure Sockets Layer, SSL: ΤαυτοποίησηWeb server από τους χρήστες – clients μέσω του γνωστού Public Key του server & μετάδοση πακέτων με συμμετρική κρυπτογραφία, π.χ. https(http over SSL over TCP), imaps (IMAP over SSL over TCP), OpenVPN(απαιτείται OpenVPN server και προ-εγκατεστημένο client S/W) • Φάση hand-shaking(αρχική φάση) • Ταυτοποίηση (authentication) του server από client μέσω server trusted certificate(SSL) ή server key fingerprint (hashed SSH server public key) • Δημιουργία (συμμετρικών) κλειδιών(session keys) ανά σύνοδο με ανταλλαγή κρυπτο-μηνυμάτων (και τυχαίων ακολουθιών pseudo random) μέσω Public Key Cryptography • Φάση μετάδοσης δεδομένων σύνδεσης(1 έως πολλά πακέτα) • Χρήση συμμετρικής κρυπτογραφίαςγια περαιτέρω ανταλλαγή πακέτων με δεδομένα που αφορούν στη σύνοδο

  21. ΜΕΙΚΤΟ ΣΥΣΤΗΜΑ ΑΣΦΑΛΟΥΣ ΠΡΟΣΒΑΣΗΣ(SSL/TLS - Secure Sockets Layer / Transport Layer Security) • 1η Φάση: Handshaking • Ο χρήστης (User) Uλαμβάνει γνώση του Δημοσίου Κλειδιού του εξυπηρετητή (Server) S με Ψηφιακό Πιστοποιητικό από Certification Authority CAself-signed ή υπογραμμένο από 3ης έμπιστη οντότητα – Third Trusted Party TTP, στα πλαίσια αρχιτεκτονικής Public Key Infrastructure PKI • Ο U δημιουργεί Κοινό Συμμετρικό Κλειδί με τυχαίο αλγόριθμο και το κοινοποιεί στονSκρυπτογραφημένο με το Δημόσιο Κλειδί του S • 2η Φάση: Κρυπτογραφημένος Διάλογος με Κοινό Συμμετρικό Κλειδί • Γρήγορη συμμετρική κρυπτογραφία σε Secure Channel μεταξύS - U • ΠΑΡΑΤΗΡΗΣΗ: • Ο Uδεν απαιτείται να έχει Πιστοποιητικό με Δημόσιο Κλειδί (ψηφιακή υπογραφή), μόνο ο S (Server Based Authentication) • Αν απαιτείται Ταυτοποίηση – Εξουσιοδότηση του Uαπό τον S (Client & Server Based Authentication) απαιτείταιμετάδοση από το secure channelDigital Identityτου Client(συνήθως User_Name/Password ήόπου υπάρχουν Client Certificates) έλεγχος στονS σεΒάση Δεδομένων Χρηστών (με πρωτόκολλο LDAP - TCP π.χ. για εφαρμογές Web, Mail… και με πρωτόκολλοRADIUS – UDP αν μεσολαβεί Remote Access Server π.χ.για πρόσβαση DSL, WiFi roaming…)

  22. ΗΛΕΚΤΡΟΝΙΚΟ ΤΑΧΥΔΡΟΜΕΙΟ (1/2) • UA 1  MTA 1 (Session 1) • User Agent  Message Transfer Agent • SMTP (TCP Session 1) • Δυνατότητα SSL/TLS security • MTA 1  MTA 2 (Session 2) • SMTP (TCP Session 2) • Δυνατότητα κρυπτογράφησης (αν υποστηρίζεται από το Μail S/W – π.χ. sendmail) • MTA 2 (Mail Server)  UA 2 (Session 3) • Πρωτόκολλα POP/IMAP (TCP Session 3) • Δυνατότητα SSL/TLS

  23. ΗΛΕΚΤΡΟΝΙΚΟ ΤΑΧΥΔΡΟΜΕΙΟ (2/2)

More Related